Aplicación de la auditoria informatica

Page 1

APLICACIÓN DE LA AUDITORIA INFORMATICA

- HERRAMIENTAS Y TECNICAS PARA LA APLICACIÓN DE UNA AUDITORIA.– pag.4 - METODOLOGIA PARA EL DESARROLLO DE UNA AUDITORIA INFORMÁTICA.– pag.6

Aplicación de la Auditoria Informática

Autores Jhordan Rodríguez Robert Gallardo Betania Vegas

© 2017 JRB - Aplicación de la auditoria Informática

2

Aplicación de la Auditoria Informática

INDICE

AUDITORIA……………………………………………………………………………………………...4 HERRAMIENTAS Y TECNICAS PARA LA APLICACIÓN DE UNA AUDITORIA……………...4 METODOLOGIA PARA EL DESARROLLO DE UNA AUDITORIA INFORMÁTICA…………..6 ALCANCE Y OBJETIVOS DE LA AUDITORIA……………………………………………………7 ESTADO DEL ENTORNO AUDITABLE……………………………………………………………..8 DETERMINACION DE LOS RECURSOS……………………………………………………………8 ELABORACIÓN DEL PLAN DE TRABAJO……………………………………………………….10

3

Aplicación de la Auditoria Informática

AUDITORIA Es un proceso sistemático para obtener y evaluar de manera objetiva las evidencias relacionadas con informes sobre actividades económicas y otros acontecimiento relacionados. El fin del proceso consiste en determinar el grado de correspondencia del contenido informativo con las evidencias que le dieron origen, así como determinar si dichos informes se han elaborado observando principios establecidos para el caso. Los objetivos de la auditoría Informática son: El control de la función informática,

El

análisis de la eficiencia de los Sistemas Informáticos, La verificación del cumplimiento de la Normativa en este ámbito, La revisión de la eficaz gestión de los recursos informáticos.

HERRAMIENTAS Y TECNICAS PARA LA APLICACIÓN DE UNA AUDITORIA 

Cuestionarios

Entrevistas

Checklist

Trazas y/o Huellas

Peritaje informático

CUESTIONARIOS: la auditorias informáticas se materializan recabando información y documentación de todo tipo. Los informes finales de los auditores dependen de sus capacidades para analizar las situaciones de debilidad o fortaleza de los diferentes entornos el trabajo de campo del auditor consiste lograr toda la información necesaria para la emisión de un juicio global objetivo. Siempre amparado en hechos demostrables, llamados también evidencias. Para esto, suele ser habitual comenzar solicitando la cumplimentación de cuestionarios pre impresos que se envían a las personas concretas que el auditor cree adecuadas, sin que sea obligatorio que dichas personas sean las responsables oficiales de las diversas áreas a auditar.Estos cuestionarios no pueden ni deben ser repetidos para instalaciones distintas, sino diferentes y muy específicos para cada situación. Sobre esta base, se estudia y analiza la documentación recibida, recibida, de modo que tal análisis

4

Aplicación de la Auditoria Informática determine a su vez la información que deberá elaborar el propio auditor. El cruzamiento de ambos tipos de información es una de las bases fundamentales la auditoria. ENTREVISTAS: El auditor comienza a continuación las relaciones personales con el auditor. Lo hace de tres formas: 1. Mediante la petición de documentación concreta sobre alguna materia de su responsabilidad. 2. Mediantes “entrevistas” en las que no se sigue un plan predeterminado ni un método estricto de sometimiento a un cuestionario. 3. Por medio de entrevistas en las que el auditor sigue un método preestablecido de antemano busca unas finalidades concretas. La entrevista es una de las actividades personales más importantes del auditor, en ellas, este recoge más información, y mejor matizada, que la proporcionada por medios propios puramente técnicos o por las respuestas escritas a cuestionarios. CHECKLIST:Tener claro lo que se necesita saber, y por qué. Sus cuestionarios son vitales para el trabajo de análisis, cruzamiento y síntesis posterior. TRAZAS Y/O HUELLAS: Con frecuencia, el auditor debe verificar que los programas, tanto de los Sistemas como de usuario, realizan exactamente las funciones previstas, y no otras. Para ello se apoya en productos Software muy potentes y modulares que, entre otras funciones, rastrean los caminos que siguen los datos a través del programa. PERITAJE INFORMÁTICO: Se conoce como peritaje informático a los estudios e investigaciones orientados a la obtención de una prueba informática de aplicación en un asunto judicial para que sirva a un juez para decidir sobre la culpabilidad o inocencia de una de las partes. La pericia, por ser un medio probatorio, tiene sus normas, previstas en los códigos procesales, respecto a la designación, tiempos y forma de presentación.

5

Aplicación de la Auditoria Informática HERRAMIENTAS INFORMÁTICAS MÁS COMUNES - Backup y copias espejos de discos duros y medios removibles. - Software de búsqueda de archivos. - Google Desktop. - Software de Recuperación de archivos borrados. - Análisis de la memoria Ram. - Análisis de la red. - Actividad del equipo. - Borrado definitivo - Búsqueda de mails, historial de internet, chats. - Otros: Encase Forensic, CondorLinux, Maltego, impresiones.mails, historial de internet, chats. - Otros: Encase Forensic, CondorLinux, Maltego, impresiones. METODOLOGIA PARA EL DESARROLLO DE UNA AUDITORIA INFORMÁTICA La metodología Magerit fue desarrollada en España debido al rápido crecimiento de las tecnologías de información con la finalidad de hacerle frente a los diversos riesgos relacionados con la seguridad informática. La CSAE (Consejo Superior de Administración Electrónica) promueve la utilización de esta metodología como respuesta a la creciente dependencia de las empresas para lograr sus objetivos de servicio. LAS FASES QUE CONTEMPLA EL MODELO MAGERIT SON: 1. Planificación del Proyecto.- establece el marco general de referencia para el proyecto. 2. Análisis de Riesgos.- permite determinar cómo es, cuánto vale y cómo están protegidos los activos. 3. Gestión de Riesgos.- permite la selección e implantación de salvaguardas para conocer, prevenir, impedir, reducir o controlar los riesgos identificados”. Al aplicar esta metodología se conocerá el nivel de riesgo actual de los activos, y por lo tanto se podrá mejorar las aplicaciones de salvaguardas y se podrá conocer el riesgo reducido o residual. La razón de ser de MAGERIT está directamente relacionada con la generalización del uso de los medios electrónicos, informáticos y telemáticos, que supone unos beneficios evidentes para los ciudadanos, pero que también da lugar a ciertos riesgos que deben minimizarse con medidas de seguridad que garanticen la autenticación, confidencialidad, integridad y disponibilidad de los sistemas de información y generan confianza cuando se utilicen tales medios. Inclusive, se ha desarrollado software como Pilar basado en la metodología de Magerit.

6

Aplicación de la Auditoria Informática

ALCANCE Y OBJETIVOS DE LA AUDITORIA. Los objetivos de la auditoría Informática son: 

El análisis de la eficiencia de los Sistemas Informáticos

La verificación del cumplimiento de la Normativa en este ámbito

La revisión de la eficaz gestión de los recursos informáticos.

También existen otros tipos de auditoría: 

Auditoría operacional: se refiere a la revisión de la operación de una empresa y juzga la eficiencia de la misma.

Auditoría administrativa: se refiere a la organización y eficiencia de la estructura del personal con la que cuenta el personal y los procesos administrativos en que actúa dicho personal.

Auditoría social: se refiere a la revisión del entorno social en que se ubica y desarrolla una empresa, con el fin de valorar aspectos externos e internos que interfieren en la productividad de la misma.

Sus beneficios son: 

Mejora la imagen pública.

Confianza en los usuarios sobre la seguridad y control de los servicios de TI.

Optimiza las relaciones internas y del clima de trabajo.

Disminuye los costos de la mala calidad (reprocesos, rechazos, reclamos, entre otros).

Genera un balance de los riesgos en TI.

Realiza un control de la inversión en un entorno de TI, a menudo impredecible. La auditoría informática sirve para mejorar ciertas características en la empresa como:      

Desempeño Fiabilidad Eficacia Rentabilidad Seguridad Privacidad

Generalmente se puede desarrollar en alguna o combinación de las siguientes áreas:  Gobierno corporativo  Administración del Ciclo de vida de los sistemas  Servicios de Entrega y Soporte  Protección y Seguridad  Planes de continuidad y Recuperación de desastres

7

Aplicación de la Auditoria Informática La necesidad de contar con lineamientos y herramientas estándar para el ejercicio de la auditoría informática ha promovido la creación y desarrollo de mejores prácticas como COBIT, COSO e ITIL. Actualmente la certificación de ISACA para ser CISA CertifiedInformationSystems Auditor es una de las más reconocidas y avaladas por los estándares internacionales ya que el proceso de selección consta de un examen inicial bastante extenso y la necesidad de mantenerse actualizado acumulando horas (puntos) para no perder la certificación.

ESTADO DEL ENTORNO AUDITABLE. Entorno Operacional a) Situación geográfica de los Sistemas: Se determinará la ubicación geográfica de los distintos Centros de Proceso de Datos en la empresa. A continuación, se verificará la existencia de responsables en cada unos de ellos, así como el uso de los mismos estándares de trabajo. b) Arquitectura y configuración de Hardware y Software: Cuando existen varios equipos, es fundamental la configuración elegida para cada uno de ellos, ya que los mismos deben constituir un sistema compatible e intercomunicado. c) Inventario de Hardware y Software: El auditor recabará información escrita, en donde figuren todos los elementos físicos y lógicos de la instalación. En cuanto a Hardware figurarán las CPUs, unidades de control local y remoto, periféricos de todo tipo, etc.

DETERMINACION DE LOS RECURSOS. Mediante los resultados del estudio inicial realizado, se procede a determinar los recursos humanos y materiales que han de emplearse en la auditoría. Recursos materiales Es muy importante su determinación, por cuanto la mayoría de ellos son proporcionados por el cliente, sobre el cual gravita el aumento de carga y las interferencias sobre el desarrollo normal de su trabajo.

8

Aplicación de la Auditoria Informática Las herramientas software propias del equipo auditor van a utilizarse igualmente en el Sistema auditado, por lo que han de convenirse en lo posible las fechas y horas de uso entre auditor y cliente. Los recursos materiales del auditor son de dos tipos: a) Recursos materiales Software Programas propios de la Auditoría. Se indicó en su momento que son muy potentes y flexibles. Habitualmente, se añaden a las ejecuciones de los procesos del cliente pura verificar los recorridos de aquéllos. Monitores. Se utilizan en función del grado de desarrollo observado en la activividad de Técnica de Sistemas del auditado y de la cantidad y calidad de los datos ya existentes. b) Recursos materiales Hardware: Los

recursos

hardware

que

el

auditor

necesita

son

proporcionados por el cliente. Es una máxima de la auditoría informática que los procesos de control deben efectuarse necesariamente en los Ordenadores del auditado. Por tanto, habrán de convenirse, fundamentalmente, tiempo de máquina y oportunidad de fecha, hora y duración de las sesiones de medida. Finalmente, se convendrán: Cantidad de pantallas, espacio en disco, montajes de cintas, impresoras ocupadas y líneas de comunicaciones si van a utilizarse en exclusiva. El auditor deberá calcular con la mayor precisión posible los incrementos de carga por él generados. Recursos Humanos: La cantidad de recursos depende del volumen auditable. Las características y perfiles del personal seleccionado dependen de la materia auditable. Suponiendo una auditoría general, es habitual la presencia de personas no informáticas pero expertas en temas de organización y análisis de costos. 9

Aplicación de la Auditoria Informática Debe resaltarse que el equipo auditor no es solamente la agregación de expertos. Por el contrario, es necesaria la cohesión entre sus integrantes. Esta suele ser proporcionada por un informático generalista. Es igualmente reseñable que la Auditoría Informática y la Auditoría en general suele ser ejercida por profesionales universitarios y por otras personas de probada experiencia multidisciplinaria. Sin ánimo exhaustivo, y de modo sinóptico en el siguiente cuadro, se han relacionado los perfiles profesionales de lo que podría ser un equipo auditor informático para abordar una Revisión General de la Informática de una Organización.

ELABORACIÓN DEL PLAN DE TRABAJO Una vez asignadas los recursos, el responsable de la auditoría y sus colaboradores establece un plan de trabajo. Decidido éste, se procede a la programación del mismo por parte del responsable de cada sector o de cada especialista, que los reportan el mencionando responsable de la auditoría para la aprobación final. El Plan de Auditoría se elabora teniendo en cuenta, entre otros criterios, los siguientes: a) Si la Revisión ha de realizarse por áreas generales o áreas específicas. En el primer caso, la elaboración final es más compleja y costosa, lo cual redonda en una superior calidad. b) Si la auditoría es global, de toda la Informática, o parcial. El volumen determina no solamente el número de auditores necesarios, sino las especialidades necesarias de personal. 

En el Plan no se consideran calendarios porque se manejan recursos genéricos y no específicos.

En el Plan se establecen los Recursos y Esfuerzos globales que van a ser necesarios.

El Plan establece las prioridades de materias auditables, de acuerdo siempre con las prioridades del cliente.

El Plan establece la disponibilidad futura del personal y de los demás recursos durante la duración de la Revisión.

El Plan estructura las tareas a realizar por cada integrante del equipo 10

Aplicación de la Auditoria Informática 

En el Plan se expresan todas las ayudas que el auditor ha de recibir del auditado.

Una vez elaborado el Plan, se procede a la Programación de actividades. Esta ha de ser lo suficientemente flexible como para permitir modificaciones a lo largo del proyecto. Los Programas de Trabajo son las cuantificaciones del Plan. En ellos se asignan los recursos humanos y materiales concretos para cada sector del Plan. En en Programa de Trabajo se establece el calendario real de actividades a realizar. La auditoría informática necesita de Planificación y Programación detallada. Posee la naturaleza de un verdadero Proyecto, y por ello le son aplicables las reglas generales de los mismos.

11

Aplicaciรณn de la Auditoria Informรกtica

JRB

12

Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.